Мэдээллийн технологийн дэд бүтцийн аудит. МТ-ийн аудит - аж ахуйн нэгжийн судалгаа МТ-ийн програм хангамжийн аудит


Хүсэлт илгээх

Хэрэв компанид бизнесийн үйл явцын нэг эсвэл өөр хэсгийг автоматжуулах нь зүйтэй гэсэн санаа байгаа бол эхний алхам нь МТ-ийн аудит байх ёстой - компанийн МТ-ийн системийн тогтоосон стандарт, шалгуурт нийцэж байгаа эсэхийг хараат бус дүн шинжилгээ хийх.

Аж ахуйн нэгжийн мэдээллийн технологийн аудит хийх нь автоматжуулалтын салшгүй хэсэг юм. Төслийн өмнөх дүн шинжилгээ нь бизнесийн аль салбарт автоматжуулалт шаардагддаг, түүнийг сайжруулснаар нааштай үр дүнд хүргэхгүй гэдгийг ойлгох боломжийг олгодог.

Мэдээллийн технологийн аудитын үндсэн чиглэлүүд нь:

  • технологийн дэд бүтэц;
  • аж ахуйн нэгжийн мэдээллийн аюулгүй байдал;
  • Мэдээллийн систем;
  • Мэдээллийн технологийн хэлтэс.

Мэдээллийн технологийн аудитын үндсэн үүрэг

Мэдээллийн аудитын гол үүрэг бол аж ахуйн нэгжийн технологийн баазын ажлыг зохион байгуулах, хянах явдал юм. Үүнээс гадна дараахь ажлуудыг ялгаж салгаж болно.

  • бэлтгэхэд туслах
    баримт бичиг;
  • урьдчилан сэргийлэх, арилгах
    системийн алдаа;
  • мэдээллийн технологийн эрсдлийг хянах;
  • баруун талд нь туслах
    компанийн удирдлага.

Аж ахуйн нэгжийн дэд бүтцийн төслийн өмнөх мэдээллийн технологийн дүн шинжилгээний үр дүн:

  • Та юу автоматжуулахаар төлөвлөж байгаагаа мэдэж байгаа байх.
  • Автоматжуулалт хийхэд хэр хугацаа шаардагдахыг та мэднэ.
  • Дизайн хийх урьдчилсан судалгааны дараа та системийг бий болгох ажлын даалгаврыг боловсруулж эхлэх боломжтой.
  • Аж ахуйн нэгжийг автоматжуулахын тулд хэр их зардал гарахыг та мэднэ.
  • Хамгийн чухал зүйл бол автоматжуулалт юу өгөх, эдийн засгийн үндэслэлтэй эсэхийг яг таг мэддэг байх явдал юм!

Хэрэв танай аж ахуйн нэгж мэдээллийн технологийн дэд бүтэцтэй бол түүнийгээ өргөжүүлэхээр төлөвлөж байгаа бол төслийн өмнөх МТ-ийн аудит нь тодорхой шийдлүүдийн ашиглалтын зохистой байдлыг үнэлэхэд тусална, шинэ мэдээллийн систем нэвтрүүлэхэд гарч болзошгүй бэрхшээлийг заана.

Орчин үеийн нөхцөлд бизнесийн автоматжуулалт нь өрсөлдөх чадвар, тогтвортой хөгжилд чухал үүрэг гүйцэтгэдэг бөгөөд үүний үндсэн дээр аж ахуйн нэгжийн автоматжуулалтыг хийж буй технологи, програм хангамжийн шийдлийг байнга сайжруулж байдаг нь ихээхэн хэмжээний хөрөнгө юм. хөрөнгө оруулалт нь МТ-ийн дэд бүтцийн төлөв байдлыг компанийн удирдлагаас хэрэгжүүлэх, ажиллуулах, дүн шинжилгээ хийх, хянах үе шатанд бизнесийн автоматжуулалтыг шаарддаг.

Мэдээллийн технологийн аудитын төрөл

Манай компанийн мэргэжилтнүүд дараахь төрлийн IT аудит хийхэд бэлэн байна.

Төрөл

Тодорхойлолт

Мэдээллийн технологийн дэд бүтцийн аудит

Тоног төхөөрөмжийн эвдрэлийг олж тогтоох, сул талуудыг хайж олох, тэдний бизнесийн чухал байдлыг тодорхойлох.

Мэдээллийн технологийн ажилтнуудын ур чадварын дүн шинжилгээ

Чадвар, эрсдлийг тодорхойлсон системийн администраторуудтай ярилцлага хийх.

Хэрэглэгчийн сэтгэл ханамжийн судалгаа

Хэрэглэгчдийн гомдол, хүсэлд дүн шинжилгээ хийж, техникийн ажилтнуудын хэрэглэгчидтэй харилцах харилцааны сул талыг олж тогтоох.

SLA шалгах

Үйлчилгээний түвшний гэрээний дүн шинжилгээ, түүний хэрэгжилтийн чанар (ITIL-ийн практик дээр үндэслэн), боловсруулалт (байхгүй бол).

Мэдээллийн аюулгүй байдлын аудит

ISO / IEC 27001 стандартын дагуу бүрэн тайлан гаргаж өгөх.

Болзошгүй эрсдэлийн тайлан

Байгууллагад эрсдлийн менежментийг хэрэгжүүлэхдээ нэгтгэсэн болно.

Мэдээллийн технологийн зардлын үндэслэл

Мэдээллийн технологийн дэд бүтцийн шууд ба шууд бус зардлын дүн шинжилгээ, бүтэц, зөвлөмж өгөх.

Бид хэрхэн ажиллаж байна вэ?

Зорилгоо тодруулах Мэдээллийн технологийн аудитын сонголтыг сонгох

Бид хийдэг
Ажлын гүйцэтгэл

Үзүүлж байна Танилцуулга
үр дүн

Бид үүнийг засаж байна уу?
Үйл ажиллагааны төлөвлөгөө боловсруулахТөлөвлөгөөний хэрэгжилт

Мэдээллийн технологийн аудитын үр дүн юу вэ?

  1. Та аудитын дүгнэлтийг хүлээн авна
    одоогийн байдлын хувьд
    Танай компанийн мэдээллийн технологийн дэд бүтэц.
  2. Хөгжлийн төлөвлөгөөг өгсөн
    1-3 жилийн хугацаанд МТ-ийн компаниуд.
  3. Оруулсан төлөвлөгөөний дагуу
    нарийвчилсан судалгаа хийгдэж байна.

Үүний зэрэгцээ удирдагч болгон энэ асуудалд бодитой, хангалттай үнэлгээ хийж чадахгүй нь мэдээжийн хэрэг юм. Үүнтэй холбогдуулан мэдээллийн технологийн үндэс суурийг бүрдүүлдэг мэдээллийн санг хэр зөв хөгжүүлсэн талаар компанийн удирдлагад бодитой тайлан өгөх, IT-аудитыг гүйцэтгэдэг бие даасан мэргэжилтнүүдэд даалгасан үндсэн чиг үүргийн талаар ярилцаж болно. гүйцэтгэсэн, үйлдвэрлэлийн үйл явц, менежментийн автоматжуулалтыг хэр үр дүнтэй хийсэн. компани. Түүнчлэн мэдээллийн технологийн аудитаар хариулах ёстой гол асуултуудын нэг бол мэдээллийн технологийн чиглэлээр хэрэгжүүлсэн шийдлүүд нь компанийн бизнес, түүнд тулгарч буй ажлуудтай хэр нийцэж байгаа явдал юм. Эцэст нь мэдээллийн технологийн дэд бүтцийн аудит нь автоматжуулалтад оруулсан хөрөнгө оруулалтын өгөөж, энэ автоматжуулалтыг оновчтой болгох боломжит аргуудыг үнэлдэг.

Мэдээллийн технологийн аудитыг захиалах нь яагаад үнэ цэнэтэй юм бэ?

Зөвхөн хараат бус мэргэжилтнүүд л аж ахуйн нэгжийн програм хангамж, дижитал, техник хангамжийн өнөөгийн байдлын бодит дүр зургийг гаргаж чадна. Мэдээллийн технологийн талаар дүн шинжилгээ хийхдээ өөрийн ажилчид үргэлж бодитой ханддаггүй, учир нь тэд дараахь зорилгоор хувийн ашиг сонирхолтой байж болно.


  • өөрийн ажлын алдаа дутагдлыг нуух;
  • Тодорхой үйлдвэрлэгчдээс техник хангамж, програм хангамжийн бүрэлдэхүүн хэсгүүдийг худалдаж авах нь ашиг тустай байдаг.

Мэдээллийн технологийн дэд бүтцэд хараат бус аудит хийх тохиолдолд ийм ялгааг оруулахгүй. Мэргэжилтнүүд корпорацийн сүлжээ, ажлын байр, холбооны тоног төхөөрөмжийн төлөв байдлыг цогцоор нь үнэлж, тодорхой зөвлөмж бүхий бодитой дүгнэлт өгдөг.

Мэдээллийн технологийн дэд бүтцийн шинжилгээ нь бизнес өргөжиж байгаатай холбогдуулан онцгой ач холбогдолтой болж байна. Ачаалал нэмэгдсэнийг харгалзан түүний ирээдүйн гүйцэтгэлд тавигдах шаардлагууд, аюулгүй байдал, найдвартай байдал, найдвартай байдлын түвшинг урьдчилан харж, томъёолох шаардлагатай байна.

Тиймээс, хөгжингүй Европын орнуудад жишээлбэл, мэдээллийн технологийн аж ахуйн нэгжийн шинжилгээг заавал хийх ёстой арга хэмжээ гэж үздэг бөгөөд зан төлөвийг тогтмол давтамжтайгаар хийдэг. Манай улсад дэд бүтцийн мэдээллийн технологийн аудитыг ихэвчлэн компанийн мэдээллийн дэд бүтцийг шинэ, цогцоор нь шинэчлэх, оновчтой болгох урьдчилсан ажил болох зорилгоор захиалдаг. Энэ тохиолдолд энэ нь үнэхээр шаардлагатай арга хэмжээ юм, учир нь энэ нь мэдээллийн хэрэгслээр хийсэн аудит нь тодорхой тохиолдол бүрт бизнесийн үр дүнтэй автоматжуулалтаар хангах ёстой үндсэн шалгуур, шаардлагыг тодорхойлох боломжийг олгодог. Эдгээр өгөгдлүүд нь ирээдүйн системийн тохиргоог боловсруулах үндэс болж, боломжит хувилбаруудын талаар хэрэглэгчтэй санал солилцох, тохиролцох боломжийг олгодог. Үүнтэй холбогдуулан мэдээллийн технологийн аудит, аж ахуйн нэгжийн дэд бүтцийн автоматжуулалтыг нэг гүйцэтгэгч гүйцэтгэх бөгөөд энэ асуудлыг шийдвэрлэхэд хувь хүн, цогц арга барилыг өгөх тохиолдолд оновчтой шийдлийг авч үзэж болно.

"Мэдээллийн технологийн аудит: Аудитор" хөтөлбөр

Хөтөлбөр " Мэдээллийн технологийн аудит: Аудитор ”нь аудит хийх аргачлалыг боловсруулж, аудиторуудад аудит хийхэд туслах уян хатан хэрэгслийг санал болгодог. Хөтөлбөр " Мэдээллийн технологийн аудит: Аудитор ”нь аж ахуйн нэгжийн аудит хийхтэй холбоотой аудитын пүүсийн үйл ажиллагааг автоматжуулдаг.

Хөтөлбөр " Мэдээллийн технологийн аудит: Аудитор "аудитын олон улсын стандартын шаардлагыг харгалзан боловсруулсан болно (ОХУ -ын Засгийн газрын 2002 оны 9 -р сарын 23 -ны өдрийн 696 тоот тогтоол).

Жижиг аж ахуйн нэгжид аудит хийхдээ (аудитын хугацаа - 5 хоног) програмын хэрэглээ " Мэдээллийн технологийн аудит: Аудитор "гүйцэтгэсэн аудитын журам, аудитын үр дүнг чанарын хувьд төлөвлөх, явуулах, бүртгэх боломжийг олгодог; дунд болон том аж ахуйн нэгжид аудит хийхдээ аудит хийх хугацааг 10-30%бууруулах.

Хөтөлбөрт дараахь зүйлс орно.

1) аудитын арга зүйн лавлах ном хөтлөх;

2) үйлчлүүлэгчдийн бүртгэлийг хөтлөх;

3) үйлчлүүлэгчидтэй харилцах;

4) байгуулсан гэрээний бүртгэл;

5) хэрэглэгчийн нягтлан бодох бүртгэлийн мэдээллийг импортлох;

6) аудитын төлөвлөлт;

7) аудит хийх;

8) аудитын төлөвлөгөө боловсруулах;

9) аудитын хөтөлбөр боловсруулах;

10) үйлчлүүлэгчийн бизнесийн гүйлгээний тодорхойлолт;

11) материаллаг байдлын түвшинг тооцоолох;

12) үр дүнгийн дээж авах, дүн шинжилгээ хийх;

13) аудиторуудын форум (аудиторуудын харилцаа холбоо);

14) илэрсэн зөрчлийн талаарх хураангуй мэдээллийг бүрдүүлэх;

15) өөр тайлан гаргах;

16) аудитын чанарын хяналт Ковалева О.В. Аудит. Сурах бичиг / Ed. О.В. Ковалева, Ю.П. Константинов. - М .: ПРИОР, 2008 .-- х. 128 ..

Хөтөлбөр " Мэдээллийн технологийн аудит: Аудитор "нь аудитын компанийн үйлчлүүлэгчдийн талаархи мэдээллийг зохион байгуулах (дугаар нь хязгаарлагдахгүй), үйлчлүүлэгчийн дэлгэрэнгүй мэдээлэл, бодит болон хууль ёсны хаяг, холбоо барих хүмүүс, үйлчлүүлэгчтэй хийсэн хэлэлцээ, байгуулсан гэрээ, хариуцлага хүлээх этгээдийн талаархи мэдээллийг хадгалах боломжийг танд олгоно. үйлчлүүлэгчтэй ажиллах гэх мэт. Програм нь үйлчлүүлэгчдийг шинж чанарын янз бүрийн параметрүүдийн дагуу ангилах боломжийг олгодог.

Хэрэглэгчийн мэдээллийг зохих хэсэгт хадгалдаг Үйлчлүүлэгчийн лавлах ... Үйлчлүүлэгчийн лавлах лавлагаанд аудитлагдсан байгууллагын ажилтнуудын талаархи мэдээллийг багтаасан болно.

Үйлчлүүлэгчтэй байгуулсан гэрээний талаархи мэдээллийг системийн мэдээллийн санд оруулах боломжтой.

Хөтөлбөр нь аудитын арга зүйн дэмжлэгт ихээхэн анхаарал хандуулдаг бөгөөд дэмжлэгийг хөгжүүлэгчид болон аудитын компани өөрөө гүйцэтгэж болно.

Хөтөлбөр " Мэдээллийн технологийн аудит: Аудитор "-д дараахь лавлах ном багтсан болно.

1) аудитын объектууд (аудитын хэсгүүд);

2) аудитын журам;

3) болзошгүй зөрчил;

4) ердийн үйл ажиллагаа.

Хөтөлбөр нь аудитын журам ба зөрчил, аудитын объект (даалгавар) ба аудитын процедурын хоорондын хамаарлыг тогтоох боломжийг олгодог. Харилцаа холбоо нь лавлах ном ашиглан хийгддэг.

Аудитын объект (хэсэг) -ийн лавлах лавлах нь гол бөгөөд аудитын журам, гарч болзошгүй зөрчил, бизнесийн ердийн үйл ажиллагааны лавлах бичиг нь захирагдана.

"Аудитын журам" лавлах номыг аудитын хөтөлбөрийг боловсруулахад ашигладаг бөгөөд аудитын явцад бөглөсөн аудиторын ажлын баримт бичгийн загварыг агуулдаг. Ажлын баримт бичгийн нэлээд хэсгийг хэрэглэгчийн нягтлан бодох бүртгэлийн автоматжуулсан өгөгдлөөр бөглөх боломжтой. Энэхүү гарын авлагыг ашиглан холбогдох аудитын журмын хөдөлмөрийн үндсэн эрч хүчийг тогтоож болно. Аудитын журам - тодорхой аудитын газар (аудитын объект) дээр шаардлагатай аудитын нотолгоог олж авах аудиторын үйл ажиллагааны тодорхой дараалал, дараалал.

Болзошгүй зөрчлийн лавлах нь болзошгүй зөрчлийн нэр, тайлбарыг агуулдаг. Шалгалтанд хамрагдсан аж ахуйн нэгжид зөрчил илэрсэн тохиолдолд аудиторын тайланг гаргахдаа лавлах номыг ашиглана.

Хөтөлбөр нь холбооны хууль тогтоомжийн үндсэн шаардлагыг хэрхэн хэрэгжүүлж байгааг авч үзэх шаардлагатай.

Дүрэм (стандарт) No2 "Аудитыг баримтжуулах".

Хөтөлбөр " Мэдээллийн технологийн аудит: Аудитор "аудиторын шалгалтын явцад олж авсан нотлох баримтуудыг баримтжуулах, аудитын холбооны дүрэм (стандартыг) дагаж мөрдөхийн тулд шаардлагатай ажлын баримт бичгийг бүрдүүлэх, хадгалах, нөөцлөх, үзэх, хэвлэх боломжийг аудиторд өргөнөөр олгодог.

Стандартын дээрх шаардлагыг хөтөлбөр нь "Аудитын төлөвлөлт", "Аудитын төлөвлөгөө", "Аудитын хөтөлбөр", "Аудитын даалгавар", "Үйлчлүүлэгчийн бизнесийн үйл ажиллагааны тодорхойлолт" зэргийг бөглөсний үр дүнд хангаж байна.

Шалгалтын явцад олж авсан мэдээллийг дараахь хэсэгт хадгална.

1) үйлчлүүлэгчийн талаархи ерөнхий мэдээлэл;

2) байгуулсан гэрээтэй холбоотой мэдээлэл;

3) аудиторын дүгнэлтийг бүрдүүлэх хугацаатай холбоотой мэдээлэл;

4) аудитын тодорхой хугацаатай холбоотой мэдээлэл.

Хөтөлбөр нь үйлчлүүлэгчийн хүрээнд мэдээлэл авах эрхийг ялгавартай болгох, үйлчлүүлэгчийн талаархи мэдээллийг найдвартай хадгалах, аудитын үе шатыг хангах боломжийг олгодог.

Дүрэм (стандарт) No 3 "Аудитын төлөвлөлт".

Хөтөлбөрт " Мэдээллийн технологийн аудит: Аудитор "аудитын төлөвлөлтийг аудитын хөтөлбөр болон" Бизнесийн гүйлгээний тодорхойлолт "маягтаар үр дүнтэй явуулах зорилгоор хийгддэг.

Аудитын хөтөлбөрт ашигласан аудитын журам, ажилтнуудад хуваарилах, гүйцэтгэх дараалал, аудитын журмын төлөвлөсөн болон хөдөлмөрийн эрч хүчийг харгалзан үзсэн нарийвчилсан аудитын төлөвлөгөө гаргах боломжтой. аудитын явцыг хянах журам. Үүний зэрэгцээ аудитын бүх хугацаанд өөрчлөлт оруулахыг зөвшөөрдөг.

Дүрэм (стандарт) № 4 "Аудитын материаллаг байдал".

Хөтөлбөр " Мэдээллийн технологийн аудит: Аудитор нь материаллаг байдлыг хэд хэдэн аргаар тооцоолох боломжийг олгодог: ерөнхийдөө тайлагнах, материаллаг байдлын хүрээнд нягтлан бодох бүртгэлийн дансанд тараах:

1) дансны дебитээр;

2) дансны дебит эргэлт;

3) дансны зээлийн эргэлт;

4) дансны кредит.

Аудитын процедурын сонголтыг "Аудитын хөтөлбөр" ба "Бизнесийн гүйлгээний тодорхойлолт" гэсэн хэлбэрээр хийдэг. Залруулагдаагүй алдааг нэгтгэн "Альтернатив тайлагнах" хэлбэрээр нэгтгэв.

Дүрэм (стандарт) No7 "Дотоод аудитын чанарын хяналт".

Аудитын даргад шалгалтын явцыг хянах, даалгавар, тайлбарыг "Бизнесийн гүйлгээний тодорхойлолт", "Аудитын хөтөлбөр", "Аудиторуудын харилцаа холбоо" гэсэн хэлбэрээр бүрдүүлэх боломжийг олгов.

"Бизнесийн гүйлгээний тодорхойлолт", "Аудитын хөтөлбөр", "Аудиторуудын харилцаа холбоо" гэсэн хэлбэрээр аудиторууд болон тэдний туслахуудын өгсөн ажлыг гүйцэтгэх явцад хийсэн үйлдлийг нарийвчлан тайлбарлах, ажлын баримт бичгийг хавсаргах боломжтой. дуусгах.

Одоогийн байдлаар хөтөлбөрт шинэ дүрэм (стандарт) оруулах ажил хийгдэж байна.

"Түүвэр судалгаа хийх" хэлбэрээр аудитор нь аудитлагдсан (ерөнхий) популяцийн үндсэн дээр материаллаг байдлын түвшингээс давсан элементүүд, гол элементүүдийг сонгож, түүвэр популяцийг янз бүрээр бүрдүүлж болно.

Аудиторт "Бизнесийн гүйлгээний тодорхойлолт" маягтанд толилуулсан үйлчлүүлэгчийн бизнесийн гүйлгээнд дүн шинжилгээ хийх, ажил гүйлгээг шалгах (хатуу хяналт шалгалт, санамсаргүй хяналт шалгалт, хяналт шалгалт хийгээгүй, доод түвшний баталгаа эрсдлийн түвшин).

Хөтөлбөрт оруулсан " Мэдээллийн технологийн аудит: Аудитор ”гэдэг нь нягтлан бодох бүртгэлийн өгөгдлийг шүүх (сонгох) арга хэрэгсэл нь түүвэр судалгаанд зориулж өгөгдөл байршуулах, аудиторын ажлын баримт бичгийг бөглөх зэргээр өгөгдлийг ямар ч шалгуураар ангилах боломжийг олгодог.

Хөтөлбөр нь аудиторт аудитын явцад илэрсэн алдааг нийт хүн амд экстрополяци хийх боломжийг олгодог.

Аудитын автоматжуулалтын програм ашиглах давуу талууд:

· Хөтөлбөрийг хөгжүүлэгчид шууд (зуучлагчгүйгээр) зарж, дэмждэг бөгөөд энэ нь худалдан авагчийн програмыг худалдан авах, дараа нь засвар үйлчилгээ хийх зардлыг бууруулах боломжийг олгодог;

· Аудитын бизнесийн бүхий л талыг хамардаг (ажилчдын ажил эрхлэлт, гэрээний ажлын зохион байгуулалт, үйлчлүүлэгчдийн бүртгэл, аудитын төлөвлөлт, "талбарт" ажиллах гэх мэт);

· Аудитын үр дүн, архивлах, дараа нь өгөгдөлд нэвтрэх боломж зэрэг бүх мэдээллийг системчлэх боломжийг танд олгоно;

· Олон зуун аудитын компаниуд өргөнөөр ашигладаг (эхний аравт багтсан компаниудаас эхлээд жижиг аудитын пүүсүүд болон дан аудиторууд хүртэл);

· Дизайнер бөгөөд хэрэглэгчдэд аудитын арга зүйг бие даан өөрчлөх боломжийг олгодог;

· Аудиторын ажлын баримт бичгийн нэлээд олон тооны загвар агуулсан байх;

· Нягтлан бодох бүртгэлийн хамгийн түгээмэл програмуудын нягтлан бодох бүртгэлийн өгөгдлийн аудитыг автоматжуулах програмд ​​ачаалах тохиромжтой хэрэгслээр хангадаг: 1C Enterprise 7.7 (8.1) гэх мэт.

· Аудиторын ажлын баримт бичгийг нягтлан бодох бүртгэлийн өгөгдөлтэй автоматаар бөглөх боломжийг танд олгоно;

· Болзошгүй зөрчлийн загвар, хэрэглэгчид өөрсдөө бөглөх хэрэгсэл агуулсан;

· Статистикийн түүвэр судалгааны янз бүрийн аргуудыг хангаж өгсөн болно: зохих санамсаргүй (давтан ба давтагдахгүй), механик (системчилсэн), мөнгөний зөв санамсаргүй (давтан ба давтагдахгүй) арга;

· Аудитын үр дүнд үндэслэн байнгын (хувьсах) файлыг автоматаар үүсгэдэг;

· Мэдрэмжтэй интерфейс, програм, сургалтын материалд зориулсан олон тооны боловсруулсан баримт бичигтэй (Flash-видео), үүнийг хурдан эхлүүлэх боломжийг олгодог. Аудит. Сурах бичиг / Ed. О.В. Ковалева, Ю.П. Константинов. - М .: ПРИОР, 2008 .-- х. 135 ..

Аудитын автоматжуулалтын хөтөлбөрийг хэрэгжүүлэхдээ дараахь зүйлийг хангана

· Арга зүйн ажлыг системчлэх;

· Аудитын үр дүнтэй төлөвлөлтийг зохион байгуулах;

· Аудитын чанарыг сайжруулах;

· Аудитын явцад үйл ажиллагааны болон дараагийн хяналтыг нэмэгдүүлэх;

· Аудитын ажлын эрч хүчийг бууруулах;

· Аудитын стандартыг дагаж мөрдөх;

· Компанийн удирдах чадварыг нэмэгдүүлэх;

· Аудитын материалд нэвтрэх эрхийг ялгах;

· Мэдээллийг системчлэх, архивлах.

Мэдээллийн системийн хөгжил нь компанид тодорхой ашиг тусаа өгдөг. Гэсэн хэдий ч, хэрэв буруу ашиглавал эдгээр нь тодорхой эрсдлийн эх үүсвэр болдог бөгөөд үүнийг хэрэгжүүлэх нь технологийг нэвтрүүлэх үр нөлөөг багасгах төдийгүй ихээхэн хэмжээний алдагдлыг бий болгодог. МТ-ийн аудит нь эдгээр эрсдлийг тодорхойлох, мэдээллийн технологийн системийн үр ашгийг үнэлэх, сайжруулах чиглэлийг сонгох боломжийг олгодог.

Түүхээс үзэхэд "мэдээллийн технологийн эрсдэл" эсвэл "мэдээллийн технологийн эрсдэл" гэсэн нэр томъёо нь мэдээллийн аюулгүй байдлын тодорхой аюул занал, вирус, хакерын халдлага, мэдээллийн хулгай, тоног төхөөрөмжийг санаатайгаар устгахтай холбоотой сөрөг үйл явдлын магадлалыг илэрхийлдэг байв. Гэсэн хэдий ч сүүлийн жилүүдэд энэ нэр томъёоны тайлбар нэлээд өргөжиж, мэдээллийн аюулгүй байдлын эрсдлийг төдийгүй үндсэн үйл ажиллагааны үр ашгийг дээшлүүлэхэд мэдээллийн технологийг ашиглах зорилгод хүрэхгүй байх эрсдлийг харгалзан үзсэн болно.

Эдгээр эрсдлүүд нь мэдээллийн систем үүсгэх үе шатанд болон үйл ажиллагааны явцад үүсдэг. Мэдээллийн системийг зохион бүтээх, баримтжуулах, боловсруулах, хэрэгжүүлэхдээ дараахь зүйлээс шалтгаална.

  • дэд оновчтой автоматжуулалтын шийдлийг сонгох;
  • дизайны алдаа;
  • төслийн тооцоолсон нөхцөл, төсвийг зөрчсөн;
  • дэд бүтэц ба автоматжуулалтын шийдэл хоорондын зөрчил;
  • системийг суурилуулах явцад гарсан техникийн болон зохион байгуулалтын алдаа. Мэдээллийн системийн үйл ажиллагааны үе шатанд зорилгодоо хүрэхгүй байх эрсдэлт хүчин зүйлүүд нь дараахь байдалтай байна.
  • дэмжлэгийн оновчтой түвшинг тодорхойлоход бизнес, мэдээллийн технологийн хоорондын үр ашиггүй харилцан үйлчлэл;
  • технологийн бүрэн чадамжийг ашиглаж чадаагүй;
  • системийн засвар үйлчилгээ, хөгжүүлэлтийн хамгийн хүлээн зөвшөөрөгдсөн түвшинг хангах боломжгүй байх;
  • засвар үйлчилгээ, яаралтай тусламжийн журам;
  • дэд бүтцийн элементүүд болон засвар үйлчилгээний ажилтнуудын ачааллыг тооцоолох алдаа.

Ийм аюул заналхийллээс зайлсхийхийн тулд аж ахуйн нэгж нь үндсэн үйл ажиллагааны түвшинд болон түүнийг дэмждэг мэдээллийн технологийн түвшинд эрсдлийн менежмент, дотоод хяналт, дотоод аудитыг нэгтгэсэн нэгдсэн системийг бий болгох шаардлагатай байна. Энэхүү бүтцийн төлөвшлийн түвшинг үндсэн үйл ажиллагааныхаа хүрээнд мэдээллийн технологийг зохих түвшинд нь үр дүнтэй, оновчтой, аюулгүй ашиглах чадвараар тодорхойлдог. Төлөвшлийн түвшин өндөр байх тусам мэдээллийн технологийн эрсдлийн түвшин буурч, мэдээллийн технологийг ашиглах нь илүү үр дүнтэй байдаг. Мэдээллийн технологийн системийг бүрдүүлэхдээ одоо байгаа болон нийтээр хүлээн зөвшөөрөгдсөн шалгуур (стандарт) -д найдах ёстой. Мэдээллийн технологийн менежментийн шинжлэх ухааны хөгжлийн 30 гаруй жилийн түүхэн хугацаанд олон улсын тэргүүлэх байгууллагууд (ISACA, OGC, ISO) шилдэг туршлагын цуглуулга (жишээлбэл, ITIL) болон нээлттэй стандартын хэлбэрээр нарийвчилсан шаардлагыг боловсруулсан болно. (CobiT, ISO 20000 гэх мэт)

МТ нь аудитын гол объект болох үйл явц юм

Мэдээллийн технологийн салбар дахь удирдлага, аудитын олон улсын стандартууд нь мэдээллийн технологийн үйл явцыг шат дамжлага, хяналтын нарийвчилсан зорилтууд, үйл ажиллагааны стандарт журмуудын нийлбэр байдлаар үнэлэхийг зөвлөж байна. эрсдэл. Энэ зорилгоор мэдээллийн технологийн үйл явцыг нарийвчилсан мэдлэгт хамруулж, 30 гаруй өндөр түвшний мэдээллийн технологийн эрсдлийг багасгах үүрэгтэй. Мэдээллийн технологийн эрсдэл, тэдгээрийг багасгах үйл ажиллагааг багтаасан үйл явцын жагсаалтыг хүснэгтэд үзүүлэв. 1. Энэхүү үйл ажиллагааг хувь хүн бүрийн үйл явцын онцлог асуудлууд болон үйл явцын менежментийн стандарт элементүүдийн аль алинд нь авч үздэг.

  • менежментийн бүх түвшний хооронд хариуцлагын хуваарилалт, тэдгээрийн хоорондын харилцан үйлчлэлийг хангах;
  • боловсон хүчний ур чадварыг шаардлагатай түвшинд байлгах механизмын хүртээмж, үр нөлөө;
  • үйл явцын баримт бичгүүдийг бүх түвшинд бүрэн хөтлөх;
  • МТ -ийн үйл явц бүрт гүйцэтгэлийг хэмжих, дотоод тайлан гаргах механизмын бэлэн байдал, бүрэн байдал, энэ нь мэдээллийн технологийн үйлчилгээний удирдлагад зорилтот үзүүлэлтүүдэд хүрэх түвшинг үнэлэх, улмаар үр дүнтэй менежментийн шийдвэр гаргах боломжийг олгодог;
  • одоогийн үйл ажиллагаанд шуурхай хяналт тавих журам, бэлэн байдал, салбарын менежерүүдийн үйл ажиллагааны доголдлыг цаг тухайд нь тодорхойлох, жишээлбэл, ажилтнууд тогтмол журмыг дагаж мөрдөхгүй байх;
  • холбогдох IT үйл явцын хооронд мэдээлэл солилцох журам байгаа эсэх;
  • үйл ажиллагааны үр ашгийг дээшлүүлэх арга, тусгай хэрэгсэл, жишээлбэл, хэрэглэгчийн хүсэлтийг бүртгэх, бүртгэх автоматжуулалтын хэрэгслийг ашиглах;
  • одоогийн үр ашиг, мэдээллийн технологийг хөгжүүлэх төлөвлөгөөнд дүн шинжилгээ хийсний үндсэн дээр үйл ажиллагааг сайжруулах.
Хүснэгт 1

МТ-ийн үйл явц

Эрсдэлтэй нөхцөл байдлын шинж тэмдэг

МТ-ийн стратеги төлөвлөлт

Стратегийн бизнес төлөвлөлтийн үе шатанд МТ-ийн стратегийн асуудлыг авч үзэхгүй бөгөөд энэ нь мэдээллийн технологийн хэлтсийн ажлыг бизнесийн бодит шаардлагад нийцүүлэн оновчтой болгох боломжийг олгодоггүй.

Мэдээллийн технологийн үйл ажиллагааны стратеги төлөвлөлтийг бизнесийн тодорхой шаардлагад нийцүүлэн хийдэг тул үр дүн нь үе үе гардаг бөгөөд хоорондоо зөрчилддөг. Стратегийн төлөвлөлтийн асуудлыг заримдаа уулзалтын үеэр зөвхөн мэдээллийн технологийн менежментийн түвшинд хэлэлцдэг болохоос бизнесийн нэгжийн дарга нар дээр яригддаггүй. Програм, технологийг бизнесийн хэрэгцээнд нийцүүлэн тааруулах нь гадны нөлөөнд, жишээ нь ханган нийлүүлэгчдийн саналд хариу үйлдэл үзүүлэх бөгөөд компанид боловсруулсан стратегийн үндсэн дээр хийгддэггүй. Стратегийн эрсдлийн үнэлгээг албажуулаагүй бөгөөд төслөөс төсөл рүү явуулдаг.

Мэдээллийн технологийн архитектурын төлөвлөлт

Мэдээллийн системийн бүтцийг оновчтой болгоогүй тул корпорацийн систем дэх өгөгдлийн илүүдэл (давхардал) нэмэгдэж, систем, хэрэглээний нийцлийн түвшинг бууруулдаг.

Мэдээллийн бүтцийн бүрэлдэхүүн хэсгүүдийн тархай бутархай хөгжил бий. Мэдээллийн схем, баримтжуулалт, өгөгдлийн синтакс дүрмийн хэсэгчилсэн хэрэгжилт байдаг. Тодорхойлолт нь мэдээлэл гэхээсээ илүү өгөгдөлд хамааралтай бөгөөд програм хангамж үйлдвэрлэгчдийн саналыг үндэслэдэг. Мэдээллийн архитектурын хэрэгцээг ажилтнуудад тайлбарлах нь эмх замбараагүй, эмх замбараагүй байдал юм.

Хувийн менежмент

Мэргэшсэн боловсон хүчнийг сонгон шалгаруулах, хадгалах (урам зориг) талаархи бодлогыг оновчтой болгоогүй байгаа нь мэдээллийн технологийн үйл ажиллагааны үр дүнд боловсон хүчний хамгийн их хувь нэмэр оруулах боломжийг олгодоггүй.

Ажилтнуудаа сонгох, удирдах албан бус арга барилыг технологийн хөгжлийн чиглэлээс илүүтэйгээр тодорхой төслүүдийн хэрэгцээ шаардлага, байгууллагын дотор болон гаднаас мэргэшсэн ажилтнуудын санал бодлын тэнцвэрт байдлыг харгалзан үздэг. Шинэ ажилчдын албан бус сургалтыг явуулдаг.

Төслийн удирдлага

Төслийн менежментийн арга барилыг оновчтой болоогүй байгаа нь цаг хугацаа, ажлын өртгийн хувьд үүргээ биелүүлэхгүй байх шалтгаан болж байна. Мэдээллийн технологийн салбарт төслийн менежментийн арга зүй, арга барилыг ашиглах шийдвэрийг менежерүүдийн хувийн шийдвэрээр шийдвэрлэнэ.

Төслийн үндсэн менежментийн шийдвэрийг хэрэглэгчийн удирдлага, үйлчлүүлэгчийн оролцоогүйгээр гаргадаг. Үйлчлүүлэгчид болон хэрэглэгчид мэдээллийн технологийн төслүүдийн тодорхойлолтод оролцдоггүй эсвэл тэдний оролцоо ач холбогдолгүй байдаг. Мэдээллийн технологийн төслүүдийг зохион байгуулалт муутай: оролцогчдын үүрэг, хариуцлага, төслийн хуваарийг тодорхойлоогүй, хөдөлмөрийн зардлыг хянадаггүй.

Мэдээллийн технологийн дэд бүтцийг олж авах

Мэдээллийн технологийн дэд бүтцийг олж авах, засварлах ажлыг оновчтой, стандартчилаагүй байна. Ашиглалтын явцад энэ нь системийн гүйцэтгэл буурч, системд хадгалагдсан өгөгдөл, програмтай холбоотой аюулгүй байдлын эрсдэл үүсэхэд хүргэдэг.

Шинэ програм бүрийн хувьд ерөнхий төлөвлөгөөгүйгээр дэд бүтцэд өөрчлөлт оруулдаг. Үйлчилгээг богино хугацааны хэрэгцээнд нийцүүлэн зохион байгуулдаг. Туршилтын орчин бол үйлдвэрлэлийн орчин юм. Мэдээллийн технологийн дэд бүтцийг олж авах, засвар үйлчилгээ хийх нь тодорхой стратеги дээр үндэслэгддэггүй бөгөөд дэмжих шаардлагатай бизнесийн програмуудын хэрэгцээг харгалзан үздэггүй. Засвар үйлчилгээний хуваарийг бүрэн боловсруулаагүй, үйл ажиллагааг уялдуулаагүй болно.

Нийлүүлэгчийн үйлчилгээний менежмент

Мэдээлэл технологийн үйлчилгээ үзүүлэгчидтэй үүрэг, хариуцлага, хүлээлтийг тодорхойлох, түүнчлэн холбогдох гэрээ хэлэлцээрийг үр нөлөө, дагаж мөрдөх талаас нь хянаж, хяналт тавих гэх мэт тодорхой гэрээний харилцаа (гэрээ) байдаггүй нь ханган нийлүүлэгч үүргээ биелүүлээгүй тохиолдолд хохирлын аюулыг нэмэгдүүлдэг.

Гуравдагч этгээдтэй гэрээ байгуулах албан ёсны бодлого, журам байхгүй. Гуравдагч этгээдийн байгууллагын үйл ажиллагааг үнэлдэггүй. Гуравдагч этгээд тайлан өгөхгүй. Тайлагнах үүрэг байхгүй тохиолдолд дээд удирдлага үзүүлж буй үйлчилгээний чанарын талаар ямар ч мэдлэггүй байдаг. Үйлчилгээ үзүүлэгчидтэй байгуулсан гэрээний стандарт нөхцөл байхгүй. Үзүүлсэн үйлчилгээний үнэлгээг дур зоргоороо, хуваагдмал байдлаар хийдэг. Аргачлал нь тухайн хүний ​​хувийн туршлага, ханган нийлүүлэгчээс хамаарна (жишээлбэл, хүсэлтээр).

Тасралтгүй байдлын менежмент

Мэдээллийн технологийн үйл ажиллагааны тасралтгүй байдлыг хангах төлөвлөгөө боловсруулах (хадгалах, турших) албан ёсны хандлага байдаггүй (үүнд өгөгдлийг нөөцлөх төлөвлөгөө орно), энэ нь мэдээллийн технологийн үйлчилгээ үзүүлэх гол чиглэл, бизнесийн үйл явцад ихээхэн тасалдал гарах магадлал өндөртэй байдаг. онцгой байдлын үед тохиолдох болно.

Томоохон зөрчлийн хариу үйлдлийг урьдчилан бодож, бэлтгэдэггүй. Системийн төлөвлөсөн тасалдлыг бизнесийн шаардлагын биелэлтийг харгалзахгүйгээр мэдээллийн технологийн хэрэгцээг хангах зорилгоор хийдэг. Үйлчилгээний тасралтгүй байдлын хандлага нь бүрэн бус, хэсэгчилсэн байдаг. Системийн бэлэн байдлын талаархи ирж буй мэдээлэл нь бизнесийн төлөв байдлыг харгалздаггүй. Хэрэглэгчийн үйлдэл эсвэл тасралтгүй ажиллагааг хангах талаар баримтжуулсан дэмжлэг байхгүй байна.

Эх сурвалж: мэдээллийн технологийн мэргэжилтний боловсруулсан эрсдлийн каталог

Нээлттэй стандартууд

CobiT (Мэдээлэл ба холбогдох технологийн хяналтын зорилтууд) нь бизнесийн мэдээллийн технологийн менежментийн олон улсын стандарт бөгөөд бизнес, мэдээллийн технологийн стратегийг уялдуулж, бизнесийн удирдагчид болон мэдээллийн үйлчилгээний менежментийн хооронд харилцан яриа өрнүүлэхэд тусалдаг. Шилдэг туршлагын номын сан ITIL (IT Infrastructure Library) нь сүүлийн 15 жилийн хугацаанд олон оронд идэвхтэй ашиглагдаж ирсэн мэдээллийн технологийн менежментийн стандарт юм. ISO 20000 (Мэдээллийн технологи - Үйлчилгээний удирдлага) нь МТ-ийн үйлчилгээ эрхэлдэг аливаа компани, үйлчилгээ нь тэдний бизнесийг харгалзан үзэхэд тэдний үр ашиг, хэрэглэгчийн шаардлагын биелэлтийг үнэлэх бүх нийтийн шалгуурыг агуулсан стандарт юм. Энэхүү стандартыг ISO 9001: 2000 -ийн аналоги болох IT үйлчилгээнд чиглэсэн салбарын стандарт болгон боловсруулсан болно.

Аудитын үе шатууд

Аудитын урьдчилсан шатанд - төлөвлөлтийн үе шат (Зураг 1-т "I"), дүрмийн дагуу үр дүнд тавигдах шаардлагыг тодруулж, авч үзэх, үнэлэх шаардлагатай эрсдлийн жагсаалтыг тохиролцож, аудит хийх хил хязгаарыг тодорхойлдог, өөрөөр хэлбэл судлах бизнес процесс, хэлтсийн жагсаалтыг тодорхойлдог. Үүнд:

  • үнэлэх МТ-ийн үйл явцын жагсаалт, түүнтэй холбоотой мэдээллийн технологийн эрсдлийн урьдчилсан зэрэглэл;
  • аудитын хил хязгаарыг зохицуулах: Үүнд дүн шинжилгээ хийх мэдээллийн технологийн үйлчилгээ, систем, програм хангамж, техник хангамж, хэлтэс, мэргэжилтнүүд;
  • аудитын нарийвчилсан төлөвлөгөө бүрдүүлэх, батлах.

Аудитор нь мэдээллийн технологийн автоматжуулсан системийг төлөвлөх, боловсруулах, хэрэгжүүлэх, ажиллуулах үе шатанд агуулагдах мэдээллийн технологийн эрсдлийн лавлагааны жагсаалтыг ихэвчлэн гаргадаг. Аудитыг санаачлагч (захиалагч) заасан жагсаалтад үндэслэн үнэлгээний тэргүүлэх чиглэлийг тодорхойлно. Хэрэв мэдээллийн технологийн аудитын захиалагч нь компанийн удирдлагын төлөөлөгчид бол илүү нарийвчлалтай үр дүнд хүрэхийн тулд асуулгын хуудсыг бизнесийн үүднээс бүрдүүлэхийг зөвлөж байна (Хүснэгт 2). Аудитын цаг хугацаа, нөөцийн параметрийг харгалзан аудитын хил хязгаарыг тодорхойлдог (үйлчилгээ, систем, хэлтэс гэх мэт). Үүний зэрэгцээ, аудитын тодорхой (гол) талбарын үнэлгээнд үндэслэн мэдээллийн технологийн менежментийн талаар бодитой дүгнэлт гаргах чадвартай байхын тулд бизнесийн зорилгоор болон / эсвэл өргөн тархсан үйлчилгээ, системд хамгийн чухал ач холбогдолтой зүйлийг авч үзэхийг зөвлөж байна. системийг бүхэлд нь.

Хүснэгт 2. Компанийн удирдлага болон гол хэрэглэгчидтэй ярилцлага хийх асуулгын хуудаснаас авсан хэсэг

Мэдээллийн технологийн эрсдлийн тодорхойлолт (мэдээллийн технологийн мэргэжилтний эрсдлийн каталогоос)

Мэдээллийн технологийн эрсдлийн менежментийн ач холбогдлыг үнэлэх

Сонгосон сонголтыг шалгана уу

Стратегийн бизнес төлөвлөлтийн үе шатанд мэдээллийн технологийн стратегийн асуудлуудыг үр дагавар гэж үзэхгүй.

  • мэдээллийн технологийн үйлчилгээний бизнесийн санаачлагад цаг тухайд нь хариу өгөхгүй байх (шинэ оффис нээх, бизнесийн үйл явцыг автоматжуулах);
  • бизнесийн санаачлагыг МТ-ийн тодорхой шийдэл болгон хөрвүүлэхэд гарах санхүүгийн зардлын өсөлт (МТ-ийн яаралтай шийдвэрлэсэн оптималь ба алдаатай шийдвэрүүд)

Эрсдэл нь ач холбогдолгүй юм

Ярилцлагын тайлбар: эрсдэл нь таамаглал бөгөөд компанийн үйл ажиллагаанд чухал биш (эрсдлийн менежментийн зардал нь олж авсан үр дүнгээс өндөр байх болно)

Дунд зэргийн эрсдэл (хүлээн зөвшөөрөгдөхүйц)

Ярилцлагын тайлбар: Стратегийн үүднээс энэхүү эрсдэлийг удирдахын ач холбогдлыг хүлээн зөвшөөрч байна (энэ шатанд уг асуудлыг урьдчилж судлахыг зөвшөөрдөг бөгөөд үүнд санхүүгийн хөрөнгө оруулалт татах, бизнесийн удирдагчдын цаг хугацааны ихээхэн нөөцийг зарцуулах шаардлагагүй)

Дундаж эрсдэлээс дээгүүр байна

Ярилцлагын тайлбар: Богино хугацаанд энэхүү эрсдлийг (цаг хугацаа, санхүүгийн нөөцийг хуваарилах) зохицуулахын ач холбогдлыг мэддэг.

Эрсдэл өндөр байна

Ярилцлагын талаархи тайлбар: энэхүү эрсдлийг богино хугацаанд хэрэгжүүлэх боломжтой төдийгүй аль хэдийн үүссэн гэж таамаглаж байна

Нэмэлт үнэлгээний параметр

Энэхүү эрсдлийг удирдахад МТ, бизнесийн хамтын оролцоо шаардлагатай байгааг хүлээн зөвшөөрч байна

Сэтгэгдэл, тайлбар:

Хүлээн авсан мэдээллийг харгалзан аудитор нь мэдээллийн нарийвчилсан зорилтуудын нэр, тодруулах асуултын ойролцоо тоог багтаасан мэдээллийн технологийн үйл явц бүрийн аудитын процедурын параметрүүдийг харуулсан асуулгын хуудсыг бүрдүүлдэг. Мэдээллийн технологийн менежментийн системийн үнэлгээг цогц болгохын тулд хувийн хэвшлээс өндөр түвшний асуултуудын шатлалыг бий болгодог. Мэдээллийн технологийн процессын төлөвшлийн түвшний үнэлгээнд дүн шинжилгээ хийхийн тулд тодорхой асуудлуудыг нарийвчилсан хяналтын зорилтуудад нэгтгэн авч үздэг. Энэ нь аудиторуудад өгсөн өгөгдөл, нотлох баримтын бүрэн, найдвартай байдлыг харгалзан үздэг.

Жишээлбэл, бид "Гэрээлэгчийн үйлчилгээний менежмент" IT процессыг үнэлэх асуулгын бүтцийг өгөх болно.

Үйл явцын зорилгод хүрэхгүй байх эрсдэлүүд:

  • МТ-ийн үйлчилгээ үзүүлэгчидтэй тодорхой гэрээний харилцаа (гэрээ) байхгүй байгаа (үүнд үүрэг, хариуцлага, хүлээлтийг тодорхойлох, холбогдох гэрээнд үр ашиг, нийцлийн хувьд аудит хийх, хяналт тавих зэрэг орно) нийлүүлэгчийн үйл ажиллагаа доголдсон тохиолдолд хохирлын аюулыг нэмэгдүүлдэг.

Зорилгодоо хүрэхэд үзүүлэх нөлөө

МТ-ийн үйл ажиллагаа:

  • мэдээллийн технологийн үйл ажиллагааны үр нөлөөг хангах - дунд зэргийн нөлөө;
  • мэдээллийн технологийн үйл ажиллагааны оновчтой байдлыг хангах - өндөр нөлөө;
  • мэдээллийн технологийн үйл ажиллагааны аюулгүй байдлыг хангах - өндөр нөлөө.

Хяналтын нарийвчилсан зорилтууд:

  • үйл явцын бодлого, үйл ажиллагааны журмыг тодорхойлох;
  • үүрэг хуваарилалт;
  • баримт бичгийн менежмент;
  • гэрээний дүн шинжилгээ;
  • гэрээний ялгааг зохицуулах;
  • эрхийг шилжүүлэх;
  • хариуцлага, хариуцлага;
  • хэрэгсэл;
  • үйл явцын хамрах хүрээ;
  • тайлан ба хэмжигдэхүүн. Дараагийн шат бол газар дээрх аудит (1-р зураг дээрх "II") бөгөөд энэ үеэр үйлчлүүлэгч компанийн ажилчидтай ярилцлага хийж, үр дүнг нь баталгаажуулдаг (Хүснэгт 3). Энэ үе шатанд дараахь ажлуудыг шийдвэрлэхийг зөвлөж байна.
  • өмнө боловсруулсан санал асуулгын хуудсыг ашиглан өөрийгөө үнэлэх журмыг явуулах;
  • өөрийгөө үнэлэх ажлын үр дүнг тодруулах зорилгоор аудитлагдсан байгууллагын гол ажилтнуудтай ярилцлага хийх;
Хүснэгт 3. "Тохиргооны менежмент" үйл явцыг өөрөө үнэлэх асуулгын хэсэг

Аудитын шалгуур

Өөрийгөө хүндэтгэх

эсвэл тийм / үгүй

Байгууллагын нэгжийн мэдэгдэл нь тохиргооны удирдлагатай холбоотой ажлуудын талаар зааварчилгаа өгдөг.

Тохиргооны менежментийг хариуцаж буй хүмүүсийн ажлын байрны тодорхойлолтод холбогдох бүртгэлийг оруулсан болно

CMDB -ийн хамрах хүрээ (тохиргооны мэдээллийн сан) нь тодорхой бөгөөд хангалттай: сервер, хувийн компьютер, DBMS, програм хангамж, LAN

Тохиргооны зүйлийн шинж чанаруудын нарийвчлалын зэрэг (нэр, төрөл, газар, өмчлөгч, бараа материалын дугаар, байдал, баримт бичиг, лиценз гэх мэт) -ийг тодорхойлсон бөгөөд хангалттай.

Физик ба логик түвшинд тохиргооны зүйлүүдийн хоорондын харилцаа холбоо (харилцаа холбоо) бүртгэгдсэн болно

Үндсэн тохиргооны бүртгэлийн журам үйлчилнэ

Тодорхойлсон, хэрэгжүүлсэн CI -ийг нэмэх хяналтын журам

Үйл явдлыг өдөөх үйл явц ба CMDB аудитын давтамжийг тодорхойлсон болно (өнөөгийн нөхцөл байдал CMDB-д хэр зөв туссаныг шалгах)

Ажлын станцуудад автоматаар дүн шинжилгээ хийж, мэдээллийн технологийн дэд бүтцийн өнөөгийн байдал, байдлын талаар тайлан гаргах боломжтой аудитын хэрэгслийг ашигладаг
  • ярилцлагын үр дүн, гүйцэтгэлийг хянах журам, өгсөн нотлох баримтыг нарийвчлан турших (үүнд журам, журам, тайлан, үйл явдлын тэмдэглэл гэх мэт) -ийн нэг хэсэг болгон үнэлэх.

Захиалагч нь авч үзсэн мэдээллийн технологийн процессын талаар ярилцлагын хүрээнд бодит байдал, асуулгын хуудсанд заасан шалгуурт нийцэж буй байдлын албан ёсны үнэлгээ (өөрийгөө үнэлэх) ажилчдыг тодорхойлдог. Аудитор ярилцлага хийдэг бөгөөд энэ үеэр өөрийгөө үнэлэх үр дүнг шинжилж, боловсронгуй болгодог. Өөрийгөө үнэлэх өндөр үр дүнг баталгаажуулсан нотлох баримтын жагсаалтад дүн шинжилгээ хийж, үүнд холбогдох нотолгоог өгөх бодит бэлэн байдлыг үнэлэв (Хүснэгт 4). Анкетын асуулт бүрийг дараах үзүүлэлтүүдийн дагуу авч үзэж болно: боловсон хүчний чадвар, бодит үйл ажиллагаа, баримт бичиг, хяналт, автоматжуулалт. Шалгуур үзүүлэлтийг таван баллын шатлалаар үнэлж, жишээлбэл, "үйл ажиллагаа" гэсэн үзүүлэлтээр дараах байдлаар хуваарилав.

  • 0 - үйл ажиллагаа хийгдээгүй бөгөөд шаардлагатай гэж хүлээн зөвшөөрөөгүй;
  • 1 - үйл ажиллагаа явуулаагүй боловч шаардлагатай гэж хүлээн зөвшөөрсөн;
  • 2 - үйл ажиллагаа нь хэсэг хэсгээр явагддаг бөгөөд хамгийн бага хамрах хүрээтэй, нотлох баримтаар баталгаажуулах боломжгүй, хазайлтыг тодорхойлоход хэцүү байдаг;
  • 3 - үйл ажиллагаа нь үе үе хийгддэг боловч бага цар хүрээтэй бөгөөд зөвхөн хувийн тохиолдлуудад нотлох баримтаар нотлогдох эсвэл "үйл ажиллагааг ажиглах" горимд үзүүлэх замаар нотлогдох боломжтой;
  • 4 - үйл ажиллагааг тасралтгүй явуулж байна. Үйл явцын хамрах хүрээ хангалттай түвшинд байгаа бөгөөд үүнийг нэмэгдүүлэхээр төлөвлөж байгаа бөгөөд ихэнх тохиолдолд үйл ажиллагааны талаар баримтжуулсан нотолгоо байдаг;
  • 5 - үйл ажиллагаа нь тасралтгүй явагддаг, бүрэн хамрагдсан, дотоод хяналт, аудитын аль алинд нь тохиромжтой цахим болон цаасан гэрчилгээтэй байдаг. Үнэлгээ хийхдээ үнэлэгдсэн үйл ажиллагааны талаар дүгнэлт өгөх боломжтой баримт бичгийн нотолгоо (аудитын мөр) хангалттай эсэхийг харгалзан үзэх шаардлагатай. Энэ бүлгийн баримт бичигт жишээлбэл, бүртгэл, бараа материал, бүртгэлийн бүртгэл, протокол, танилцах хуудас, ажил гүйцэтгэхийг харуулсан акт, / эсвэл тайлан орно.

Хүлээн авсан хариултуудыг жингийн шинж чанар, өөрийгөө үнэлэх үр дүн (оноо) дагуу эрэмбэлдэг. Дараа нь санал асуулгын хуудсыг баталгаажуулах ажил ирдэг. Биеийн жин, өөрийгөө үнэлэх үнэлгээний хамгийн өндөр оноо нь фитнесийн шалгалтыг хамгийн түрүүнд өгдөг. Аль ч тохиолдолд хамгийн өндөр оноо авсан гэрчилгээ / хариултын дор хаяж 50%, үлдсэн хувь нь дор хаяж 30% -ийг энэ журамд хамруулах ёстой. Хэрэв өөрийгөө үнэлэх үнэлэмжийг хэт өндөр үнэлсэн бол аудитор өөрийн үнэлгээг тавьдаг бөгөөд энэ нь дараа дараагийн тооцоо хийх үндэс суурь болно. Хяналт шалгалтын үйл ажиллагаа, ажиллах нөхцлийг үндэслэн баталгаажуулалт хийдэг; баримт бичиг, хяналт шалгалтын тэмдэглэл (акт, тэмдэглэл), хурлын тэмдэглэл, аудитын тайлан (акт), хураангуй мэдээлэл, дүн шинжилгээ, гүйцэтгэлийн шалгуур үзүүлэлт, тайлан шаардах; цахим мэдээллийн сан, вэбсайтад нэвтрэх. Шаардлагатай тохиолдолд аудитор бодитой аудитын журам (өөрийгөө үнэлэх үр дүнгийн нэмэлт баталгааг олж авахын тулд тодорхой асуудлаар аудитын баримт нотолгооны нийт дүнг сонгон шинжлэх) нарийвчилсан туршилтын асуулгыг даруй гаргадаг. Аудитын эцсийн шатанд ("III" Зураг 1), цуглуулсан нотлох баримтад дүн шинжилгээ хийж, нарийвчилсан үнэлгээ хийж, аудитын эцсийн дүгнэлтийг гаргадаг. CobiT олон улсын стандарт нь энэ үе шатыг "бүтээлч" гэж тодорхойлдог, учир нь аудитор нь мэдээллийн технологийн менежментийн системийн төлөв байдлын талаархи эцсийн тооцоог бүрдүүлэхийн тулд тодорхой асуултуудаас үнэлгээний олон үе шаттай өөрчлөлтийг хийх хэцүү даалгавартай тулгардаг. бүхэлдээ байгууллага.

Ослын дутагдал нь аюулын дохио юм

"Мэдээллийн аюулгүй байдлын осолд хариу арга хэмжээ авах" гэсэн тодорхой асуудлаар баталгаажуулалт хийх зөвлөмжийн жишээ бол Британийн Стандартын Хүрээлэнгээс боловсруулсан BS 7799 Хяналтын Хэрэгжилт ба Аудитын Удирдамжид багтсан аудитын удирдамж байж болно: "Байгууллага шаардлагатай журамтай байх ёстой. боловсруулж хэрэгжүүлж, аюулгүй байдлын талаар мэдээлэх холбооны сувгуудыг удирдлагатай байгуулав. Аудиторууд эдгээр журмуудыг болзошгүй аливаа осолд ашиглах боломжтой, хангалттай үр дүнтэй хариу арга хэмжээ авсан эсэхийг баталгаажуулах ёстой. Хэрэв байгууллага нь тайлагнах тохиолдол гараагүй тул тайлагнах үйл явцыг харуулж чадахгүй гэж мэдэгдэж байгаа бол тухайн үйл явдлыг хэн ч анзааралгүйгээр тохиолддог. Тиймээс аюулгүй байдлын ослыг мэдээлэх журам, ослыг мэдээлэх журам, урьд өмнө ямар нэгэн осол гарч байсан эсэхээс үл хамааран гарах ёстой. Байгууллагад аюулгүй байдлын осол (тохиолдлын) талаар тодорхой тодорхойлолт байгаа эсэх, хариуцлагатай албан тушаалтнууд үүнийг ойлгож байгаа эсэхийг шалгах шаардлагатай. Баталгаажуулах асуулт асуух нь ашигтай байдаг, жишээлбэл: "Хэрэв та нууц материалтай сейф чинь нээлттэй байгаа бөгөөд эргэн тойрондоо хэн ч байхгүй бол үүнийг аюулгүй байдлын зөрчил гаргасан гэж үзэх үү?" Цалин, үүнийг үнэт цаас гэж үзэж болох уу? зөрчсөн үү? "

Энэ үе шатанд аудиторын хийх гол ажил бол аудитын үр дүнд итгэх гол нөхцөл болох эцсийн дүгнэлтийг гаргах механизмын ил тод байдлыг хангах явдал юм. Бүх оролцогч талууд аудитын үр дүнг хувийн тооцооллоос эцсийн тооцоонд шилжүүлэх гинжин хэлхээний шалтгааныг харгалзан үзэх боломжтой байх ёстой. Тооцооллын хөрвүүлэлтийн хамгийн тодорхой үе шатуудыг авч үзье.

Мэдээллийн технологийн процессын төлөвшлийн түвшинг тооцоолох

Энэхүү тооцоог CobiT аргачлалыг ашиглан хийж болох бөгөөд энэ нь процессын төлөвшлийн таван үндсэн шинж чанарыг тодорхойлохыг санал болгож байна (Хүснэгт 5). Аудитор тодорхой асуудлуудыг процессын шинж чанар (ур чадвар, бодит үйл ажиллагаа, баримт бичиг, хэмжилт, сайжруулалт) -ын дагуу бүлэглэж, бүлэг тус бүрийн оноог тооцдог. Энэ тохиолдолд бүлгийн доторх болон бүлгүүдийн аль алиных нь жингийн шинж чанарыг харгалзан үзэхийг зөвлөж байна. Тодорхой үнэ цэнийг тодорхойлох ажлыг мэргэжилтний зөвлөгөөгөөр хийдэг бөгөөд ажлын эхэнд аудитын захиалагчтай тохиролцдог.

Хүснэгт 5. Төлөвшлийн түвшний эцсийн үнэлгээг тооцоолох томъёо

L = L1 + L2 + L3 + L4 + L5

Төлөвшлийн түвшин

Нэр

K - хэсгийн жин (онооны нийлбэр 5)

R (Tn) - Санал асуулгын дүн, баталгаажуулалтын дүн дээр үндэслэн 0-ээс 1 хүртэлх оноо (үнэлгээний бодит нийлбэр / боломжит хамгийн дээд нийлбэр)

L1 = K × R (T1)

Чадамж

L2 = K × R (T2)

Үйл ажиллагаа

L3 = K × R (T3) × R (T2)

Баримтжуулалт

L4 = K × R (T4) × R (T2)

Хэмжилт

L5 = K × R (T5) × R (T2)

Төгс байдал

Зураг дээр үзүүлсэн тооцоо. 2, мэдээллийн технологийн процессын төлөвшлийн түвшинд чиг хандлага бий болгох боломжийг танд олгоно.

Сөрөг хандлагын векторыг баримт бичгийн түвшинг харгалзан бүтээдэг (энэ бүлгийн асуултын эцсийн оноо). Баримт бичгийн түвшин доогуур байх тусам үндсэн боловсон хүчнээ алдах эсвэл үйл ажиллагааны нөхцөл өөрчлөгдөх тохиолдолд мэдээллийн технологийн үйл ажиллагааны зорилгыг биелүүлэхгүй байх магадлал өндөр байдаг (жишээлбэл, шинэ ажилчид тодорхой журам хэрхэн байх талаар мэдээлэл авах боломжгүй байдаг. гүйцэтгэсэн). Үүний дагуу эерэг хандлагын хувьд хэмжилт, сайжруулалтыг гүйцэтгэлийг сайжруулах үндэс болгон авч үздэг. Шалгалтын дараах хугацааны үргэлжлэх хугацаа (аудитын хоорондох хугацаа) практик дээр ихэнх тохиолдолд нэгээс гурван жилийн хооронд хэлбэлздэг бөгөөд давтамжтай холбоотой хууль тогтоомж, зохицуулалтын шаардлага, түүнчлэн боломжийн хүрэлцээний зарчмыг харгалзан тодорхойлдог. Ирээдүйн урьдчилсан таамаглалыг бүрдүүлэх зорилгоор хамгийн их сонирхсон хугацааг судлав.

Мэдээллийн технологийн эрсдлийн түвшинг тооцоолох

Энэ нь эмчилсний дараах эрсдлийн түвшинг хэлнэ, жишээлбэл үүнийг бууруулах эсрэг арга хэмжээ авсны дараа. Энэхүү процедурын нэг хэсэг болгон аудитор нь тодорхойлсон эрсдлүүдийн жагсаалтыг гаргаж, эрсдлийн үндсэн түвшинг энэхүү параметрийг удирдах үүрэгтэй мэдээллийн технологийн процессын төлөвшилтийн түвшинтэй харьцуулж үздэг (Хүснэгт 6). Үлдэгдэл эрсдэл (S) 6 ба түүнээс бага байвал хүлээн зөвшөөрөгдөх боломжтой гэж үзнэ. Дунд зэрэг - 7 -оос 11. Өндөр - 12-16 хүртэл. Чухал - 17-25 хүртэл.

Дүгнэх

Аудитын дүгнэлтийг бүрдүүлэх бүх үе шатанд үнэлгээ хийх нь баталгаажуулалтын дараах үеийн янз бүрийн үйл явцын үзүүлэлтүүдийн өөрчлөлтийн хүлээгдэж буй динамикийг тооцоолох статистикийн үндсийг бүрдүүлэх боломжийг олгодог. Олсон үр дүнг мэдээллийн технологийн хөрөнгө оруулалтын урт хугацааны төлөвлөгөөг боловсруулж, эрсдлийн менежментийн системийн төлөвшлийн түвшин нэмэгдсэнтэй уялдуулан ашиглаж болно. Өмнө дурьдсанчлан мэдээллийн систем илүү төвөгтэй байх тусам мэдээллийн технологийн менежментийн систем илүү боловсронгуй байх ёстой. Гэхдээ урвуу хамаарал бас бий. Жишээлбэл, хэрэв компани нь төвөггүй орон нутгийн системтэй бол 2.8-3.2-ийн төгсгөлийн түвшинд хамгийн их үр ашгийг хүртэх болно. Илүү өндөр түвшин нь шийдвэрлэх давуу талыг өгөхгүй боловч менежментийн нэмэлт зардлыг бий болгодог (Зураг 3). Аудитын явцад илэрсэн зөрчилдөөнийг (санал) арилгах стандарт зөвлөмжөөс гадна аудитын үр дүнг ашиглан мэдээллийн технологийн менежментийн системийг бүхэлд нь болон хувь хүний ​​мэдээллийн технологийн үйл явцыг сайжруулах тактик, стратегийн талаархи үндсэн зөвлөмжийг боловсруулж, мөн мэдээллийн сан бүрдүүлэхэд ашиглаж болно. байгууллагын дотоод хяналтын систем, байгууллагын мэдээллийн технологийн аудитын арга зүйн үндэс. Дээрх аудитын аргачлалыг ашигласнаар компани нь мэдээллийн технологийн менежментийн тогтолцоогоо олон улсын стандарт, практик туршлагын призмээр харж, улмаар мэргэжлийн шинжээчийн үнэлгээ авах боломжийг олгодог.

  • байгууллагын баталгаажуулалтын аудит хийлгэхэд бэлэн байдлыг тодорхойлоход ашиглаж болох стандартын шаардлагад нийцэж буй байдлын зэрэг;
  • мэдээллийн технологийг ашиглахдаа бизнесийн нэмүү өртөгийг үр дүнтэй бүрдүүлэх зорилгод нийцэх байдал;
  • жишээлбэл, бизнесийн үйл ажиллагааг өргөжүүлэх талаар авч үзвэл мэдээллийн технологийн үйл ажиллагааг өргөжүүлэхэд бэлэн байгаа эсэхийг үнэлэх болно. Хэрэв бид шинэ мэдээллийн системд өргөн цар хүрээтэй шилжих тухай ярьж байгаа бол холбогдох тогтолцоонд дасан зохицох чадварын түвшинг өөрчлөхийн тулд санхүүжилтийн хэмжээг өөрчлөхийн тулд оновчтой цаг хугацаанд шинэ системд найдвартай шилжихийг баталгаажуулах. Гүйцэтгэсэн ажилд үндэслэн мэдээллийн технологийн хэлтсийн менежментийг хөгжүүлэх стратеги, түүний дотор менежментийн тодорхой үйл явц, эрсдлээс урьдчилан сэргийлэх, мэдээллийн технологийн хэлтсийн ажлыг сайжруулах, дотоод хяналтын системийг бүрдүүлэх талаар зөвлөмж гаргадаг. Ийнхүү МТ-ийн аудит нь өрсөлдөх чадварын түвшингээрээ нэн тэргүүнд чухал ач холбогдолтой салбар дахь компанийн үр дүнтэй ажлын үндэс суурийг тавьж, зөвхөн хэрэгжүүлэх боломжтой үйл ажиллагааны төлөвлөгөөг тодорхойлов. Бусад бүх зүйл аль хэдийн компани өөрөө, эсвэл боловсруулсан зөвлөмжийг чанд дагаж мөрдөхөд бэлэн байгаагаас хамаарна.
Хүснэгт 6. Мэдээллийн технологийн эрсдлийн үлдэгдлийн түвшинг үнэлэх

0-ээс 5 хүртэлх эрсдлийн түвшин (шинжээчийн үнэлгээ)

0-ээс 5 хүртэлх IT үйл явцын (эрсдлийг удирддаг) төлөвшлийн түвшний нөлөөлөл

Үлдэгдэл эрсдэлийн үнэлгээ

S = 5 × R1 - L 2

Хөгжлийн эхэн үеэс уян хатан дэд бүтэцгүйн улмаас систем ашиглах боломжтой болох хугацааг нэмэгдүүлэх эрсдэлтэй

Дэд бүтцийн сул зогсолт нэмэгдэх эрсдэлтэй

Технологийн дэд бүтцийн зөрчилдөөнөөс шалтгаалан програмын гүйцэтгэлийн асуудал нэмэгдэх эрсдэлтэй

Мэдээллийн технологийн шинэ шийдлүүдийг нэвтрүүлэхэд хүчин чадал дутагдах эрсдэлтэй

"Нөөцөд" үндэслэлгүй нөөцийг бий болгосноор мэдээллийн технологийн дэд бүтцийн зардал нэмэгдэх эрсдэлтэй

Аж ахуйн нэгжид анхнаас нь хэрэгжүүлсэн мэдээллийн технологи нь ихэвчлэн компанийн менежерүүд болон ажиллагсад, ялангуяа гуравдагч этгээдэд зориулж "долоон лацын ард нууц" хэвээр үлддэг эсвэл хувирдаг нь мэдэгдэж байгаа боловч сонирхол багатай хүмүүс биш юм. үйлчлүүлэгчид, хөрөнгө оруулагчид, түншүүд. Мэдээжийн хэрэг, энэ нь компанид итгэх итгэлийг нэмэгдүүлж, бизнесийн аюулгүй байдлыг хангаж чадахгүй бөгөөд үйлчлүүлэгч, хөрөнгө оруулагчдыг татахад тус болохгүй. МТ-ийн аудит нь компани дахь үйл явдлын бодит байдалд "гэрэл гэгээ оруулах", мэдээллийн системүүдийн үйл ажиллагаа, улмаар бизнесийг бүхэлд нь оновчтой болгох боломжийг олгодог механизмуудын нэг юм.

Мэдээллийн технологийн аудитын гол зорилго нь мэдээллийн технологийг ашиглахтай холбоотой эрсдлийг үнэлэх, тэдгээрийн хяналтыг үнэлэх, эрсдэлийг бууруулах шаардлагатай газруудад залруулах арга хэмжээ авах зөвлөмж боловсруулах явдал юм.

Бид танай компанид дараахь ажлуудаас бүрдсэн мэдээллийн технологийн аудит хийхийг санал болгож байна.

МТ-ийн аудитын ажлын цар хүрээ, ажлын цаг хугацаа, зардлыг тодорхойлохын тулд МТ-ийн оношлогоо хийхийг зөвлөж байна. Оношилгоог ажлын 3-5 хоногийн дотор хийдэг. Оношлогоо нь мэдээллийн технологийн гол асуудлуудыг тодорхойлоход шаардлагатай мэдээллийг цуглуулдаг. Эдгээр мэдээлэлд үндэслэн компанид IT аудит хийх нарийвчилсан саналуудыг боловсруулсан болно.

Аудитын үр дүн нь компанид одоо байгаа мэдээллийн систем (IS) нь бизнесийн хэрэгцээг хангаж байгаа эсэх, IS-ийг оновчтой болгох, цаашид хөгжүүлэх зөвлөмж боловсруулсан тухай багц дүгнэлт юм.

Аудитын явцад одоо байгаа IS нь компанийн бизнесийн үйл явцтай нийцэж байгаа эсэхийг шалгадаг бөгөөд энэ нь компанийн зохион байгуулалтын бүтэц, хэлтсийн шатлал, дотоод ажлын урсгал, нягтлан бодох бүртгэлийн бодлого, модулиудын нийцтэй байдалд дүн шинжилгээ хийх гэсэн үг юм. хэлтсийн бодит хэрэгцээнд ашиглаж байсан IS-ийн.

IP аудит нь дараахь зорилгод хүрэх зорилготой.

  • Мэдээллийн технологийн дэд бүтцийг хадгалах, хөгжүүлэх зардлыг бууруулах
  • Автоматжуулсан бизнесийн үйл ажиллагааны зардлыг бууруулах
  • IS -ийн үр ашгийг дээшлүүлэх
  • Компанийн IP -д оруулсан хөрөнгө оруулалтын үр ашгийг нэмэгдүүлэх

IP аудитын хүрээнд дараахь ажлыг гүйцэтгэдэг.

  • Чадвар, IP стратеги нь компанийн стратеги, бизнесийн зорилго, бизнесийн үйл явцтай нийцэж байгаа эсэхийг шинжлэх
  • Мэдээллийн технологийн одоо байгаа үйлчилгээ, түүнийг дэмжих мэдээллийн системийн шинжилгээ (програм хангамжийн бүтээгдэхүүн)
  • Одоо байгаа мэдээллийн технологийн дэд бүтцийн асуудлын талбарыг тодорхойлох:
    • мэдээллийн системийн бизнесийн шаардлагад нийцэх түвшин
    • IP-ийн засвар үйлчилгээ, хөгжлийн өртөг
    • МТ-ийн үйл явцыг ISO 9000 стандартад нийцүүлэх
    • мэдээллийн аюулгүй байдлын түвшин
  • Мэдээллийн технологийн дэд бүтцийг сайжруулах зөвлөмж боловсруулах:
    • зөвлөмж тус бүрийг хэрэгжүүлэх зардлын тооцоо;
    • зөвлөмжийг хэрэгжүүлэх төлөвлөгөө.
    • мэдээллийн технологийн дэд бүтцийг шинэчлэх зөвлөмж.

Мэдээллийн технологийн дэд бүтцэд хийсэн шалгалт, шалгалтын хүрээнд дараахь үзүүлэлтүүдийг шалгана: гүйцэтгэл, бүрэн бүтэн байдал, аюулгүй байдал, мэдээллийн технологийн бүрэн бүтэн байдал гэх мэт.

Үүний үр дүнд Компани нь Мэдээллийн технологийн дэд бүтэц ба бизнесийн хэрэгцээ, одоо байгаа бэрхшээл, эрсдлийн хооронд илэрсэн зөрчлийн тодорхойлолтыг хүлээн авч, тэдгээрийг арилгах зөвлөмжийг хэрэгжүүлж хэрэгжүүлэх зардлын тооцоог авах болно. санал болгосон зөвлөмж, ажлын төлөвлөгөө.

Энэхүү мэдээлэл нь автоматжуулалтын стратегийг бий болгох, мэдээллийн технологийн салбарт хөрөнгө оруулах хамгийн үр дүнтэй арга замыг тодорхойлох үндэс суурь болно.

Технологийн платформ, техник хангамж, програм хангамжийн систем, сүлжээ, харилцаа холбооны байгууламж (IT-дэд бүтэц) -ийн өнөөгийн бүтэц, үйл ажиллагааны түвшний талаар мэргэжилтний үнэлгээ авах, түүнчлэн ашиглалтын үр ашгийг дээшлүүлэх талаар зөвлөмж авах, шинэчлэх, өмчлөлийн зардлыг бууруулах.

Жишээлбэл, аудиторын тайланд серверийн ачааллын хэмжээ, тэдгээрийн шинж чанарт нийцэж байгаа талаархи дүгнэлтийг агуулсан байж болох бөгөөд серверийн платформ нь даалгаврыг нэмэгдүүлэх боломжийг олгодог, эсвэл хүчин чадлын хязгаарт ажилладаг гэх мэт.

Шалгалтанд мэдээллийн аюулгүй байдлын тогтолцоо (ОУСС) -ын өнөөгийн байдлын талаархи шинжээчийн үнэлгээ, мэдээллийн эрсдлийн үнэлгээ, ОУСС-ийг сайжруулах зөвлөмж, ОУСС-ийг бий болгох эсвэл шинэчлэхэд гарах зардлын тооцоо, шалгалт орно. Мэдээллийн аюулгүй байдлын аудит нь үйлчлүүлэгч компаниудад бизнесийн эрсдлийг бууруулах, мэдээллийн аюулгүй байдлын түвшинг нэмэгдүүлэх боломжийг олгодог.

Шалгалтын үр дүн нь МТ-ийн хэлтсийн үйл ажиллагааны үр ашгийг дээшлүүлэх, МТ-ийн зардлыг оновчтой болгох, МТ-ийн чиглэлээр үзүүлж буй үйлчилгээний чанарыг сайжруулах, МТ-ийн хэлтсийг бизнесийн зорилтын дагуу өөрчлөн зохион байгуулах чиглэлээр олон ажил хийх боломжийг бидэнд олгоно. компани болон мэдээллийн технологийн дэд бүтцийг ажиллуулах орчин үеийн арга зүй.

Аудитын тайланг үндэслэн, ялангуяа мэдээллийн технологийн үйлчилгээний төлөвлөлтийг компанийн бизнесийн хэрэгцээнд нийцүүлэн хэрхэн зохион байгуулах талаар нарийвчилсан зөвлөмж гаргадаг.

Цаашдын хамтын ажиллагааны боломжууд

Мэдээллийн технологийн аудитын үр дүн нь манай компаниудын цаашдын хамтын ажиллагааны чиглэлийг тодорхойлж, ялангуяа мэдээллийн технологийн чиглэлээр зөвлөгөө өгөх чиглэлээр дараах цуврал ажлыг хийх шаардлагатай байгааг тодорхойлох боломжийг олгоно.

  • Мэдээллийн технологийн стратеги боловсруулах
  • Мэдээллийн системийн үзэл баримтлалыг боловсруулах, үүнд МТ-ийн оновчлол / хөгжлийн бизнес кейс боловсруулах
  • Мэдээллийн системийг оновчтой болгох / хөгжүүлэх, үүнд:
    • Техникийн даалгаврыг боловсруулах / одоо байгаа / дутуу байгаа дэд системүүд / IS модулийг бий болгох
    • Корпорацийн мэдээллийн системд зориулсан програм хангамжийн системийг (үйлдвэрлэгч) сонгох
    • IP оновчлолын төслийн зохион байгуулалт, менежмент
    • Арга зүйн / дагалдах баримт бичгийг боловсруулах
    • Өөрчлөгдсөн / шинэ дэд систем / IS модулиудыг боловсруулах / хэрэгжүүлэх
    • Боловсон хүчний сургалт, боловсрол. Ажилтнуудын зөвлөгөө өгөх
  • IS -ийн үйл ажиллагааны хяналт, засвар үйлчилгээ

Цогц аудит хийх нь үйлчлүүлэгчийн мэдээллийн технологийн дэд бүтцийн байдлын талаар хамгийн бүрэн гүйцэд, системчилсэн, найдвартай мэдээлэл авах боломжийг олгодог. МТ -ийг үнэлэх, шийдвэр гаргах, нөхцөл байдлын хөгжлийг урьдчилан таамаглах, мэдээллийн технологийг удирдахад аудит хийх шаардлагатай.

Энэ үйлчилгээ хэзээ (ямар тохиолдолд) эрэлт хэрэгцээтэй байдаг вэ?

  1. Бизнес олж авах эсвэл бизнесийн нэгдэл(албан ба албан бус) хэлбэрээр эзэмшиж буй бүтцэд оруулах. Худалдан авсан компанийн мэдээллийн технологийн дэд бүтцийг өөрийн дэд бүтэцтэй нэгтгэх шаардлагатай болж байна. Хараат бус аудит хийх нь зардлыг бууруулж, интеграцийн ажлыг хурдасгах болно.
  2. Мэдээллийн технологийн дэд бүтцээ шинэчлэхээс өмнөаж ахуйн нэгжүүд. Шинэчлэлийн зардлыг оновчтой болгож, хөгжлийн стратеги боловсруулах шаардлагатай байна.
  3. Бизнесийн өсөлт нь мэдээллийн технологийн хөгжлөөс давж гарах үед... Энэ тохиолдолд аж ахуйн нэгжийн удирдлага дахь мэдээллийн технологийн дэд бүтцийн бүтэц, төлөв байдлын талаархи удирдлагын мэдээлэл дутмаг эсвэл дутмаг байдаг.
  4. Хэрэв мэдээллийн технологийн дэд бүтэц сайн ажиллаж чадахгүй байгаа болОдоогын хувьд. Аудит бол дэд бүтцийн саад бэрхшээлийг олж тогтоох, арилгах зөвлөмжийг авах хамгийн сайн арга юм.

Энэ үйлчилгээний үйлчлүүлэгчид ямар давуу талтай вэ?

  1. Хялбаршуулсан модернизациМэдээллийн технологийн нөөцийн талаар хамгийн бүрэн гүйцэд, хамгийн сүүлийн үеийн мэдээллийг авах замаар мэдээллийн технологийн дэд бүтэц.
  2. Зардлын тооцоог олж авахмэдээллийн технологийн дэд бүтцийг шинэчлэх. Тайлангийн баримт бичигт тусгагдсан зайлшгүй байдлын зэрэг, төлөвлөсөн ажлын цар хүрээний талаархи мэдлэг нь үйлчлүүлэгчид үндэслэлтэй шийдвэр гаргах боломжийг олгодог.
  3. Үр ашгийг дээшлүүлэхаудитын үр дүнг харгалзан мэдээллийн технологийн боломжтой нөөцийг ашиглах, мэдээллийн технологийг ашиглахтай холбоотой бизнесийн эрсдлийг багасгах.
  4. Удирдах чадварыг сайжруулах IT аж ахуйн нэгж. Удирдлага нь шийдвэр гаргах, нөхцөл байдлын хөгжлийг урьдчилан таамаглах, мэдээллийн технологийн менежментэд шаардлагатай менежментийн шаардлагатай мэдээллийг авдаг. Байгууллагын мэдээллийн технологийн үйлчилгээний үр ашгийг дээшлүүлж, зогсолт, хэвийн бус нөхцөл байдлын тоог бууруулдаг.
  5. Практик зөвлөгөө авахашигласан технологи, тоног төхөөрөмж, түүний тохиргооны талаар. Бүх зөвлөмжүүд нь аудитын явцад илэрсэн тодорхой асуудлуудтай холбоотой байдаг тул зөвлөмж бүрийн хэрэгжилт нь компанид маш их ашиг тустай байдаг.

Мэдээллийн аюулгүй байдлын аудитыг тогтмол ажилтнууд (дотоод аудит) болон бие даасан мэргэжилтнүүдийг татан оролцуулах замаар (хөндлөнгийн аудит) хийж болно. Боломжит үйлчлүүлэгчдэд үзүүлэх мэдээллийн аюулгүй байдлын хөндлөнгийн аудитын үнэ цэнэ дараах байдалтай байна.

  1. Аудит бол үр дүнгийн бодит байдлыг дээшлүүлэх бие даасан судалгаа юм.
  2. Шалгалт явуулж буй мэргэжилтнүүд нь тухайн байгууллагын энгийн ажилчдаас илүү мэргэшсэн, илүү туршлагатай байдаг.
  3. Аудитын ажлыг өөрөө зохион байгуулахаас илүү мэргэшсэн байгууллагад даатгах нь хямд байдаг.

Үйлчилгээний тодорхойлолт

Иж бүрэн аудит хийх нь гурван үндсэн үе шатыг хамарна.

  • Өгөгдөл цуглуулах

Асуудлын талаархи мэдэгдэл, ажлын цар хүрээг тодруулах

Даалгаврыг тодорхойлох үе шатанд аудитыг бэлтгэх зохион байгуулалтын арга хэмжээ авна.

  • Аудитын зорилго, зорилтыг тодорхойлсон болно
  • Ажлын хэсэг байгуулагдаж байна
  • Аудитын ажлын техникийн даалгавар (ТТ) бэлтгэж, тохиролцож байна

Заримдаа аудит хийхэд хэрэглэгчийн нууц гэж үздэг мэдээлэлд нэвтрэх шаардлагатай болдог. Энэ тохиолдолд TK -тэй зэрэгцэн нууцлалын гэрээг боловсруулж, үйлчлүүлэгчийн аюулгүй байдлын үйлчилгээтэй харилцах ажлыг зохион байгуулдаг.

Өгөгдөл цуглуулах

Энэ үе шатанд үйлчлүүлэгчийн ажилтнуудтай ярилцлага хийх, тоног төхөөрөмжийн үзлэг, тооллого хийх, тохиргооны мэдээллийг цуглуулах ажлыг гүйцэтгэдэг. Гүйцэтгэсэн ажлын нарийвчилсан жагсаалтыг АТ-д аудитын зорилгоор тогтооно.

Мэдээллийн технологийн дэд бүтцийн бүх техникийн болон зохион байгуулалтын бүрэлдэхүүн хэсгүүдийн судалгааг хийдэг.

  • Тоног төхөөрөмж - мэдээллийн технологийг бий болгож, хадгалж байдаг техник хангамж: сүлжээний тоног төхөөрөмж, сервер ба ажлын станц, хадгалах систем гэх мэт.
  • Дэмжих хэрэгслүүд - мэдээллийн технологийн дэд бүтцийн үйл ажиллагааг хангахад шаардлагатай туслах нөөц, тоног төхөөрөмж, байр;
  • Технологи - үйлдлийн систем, мэдээллийн баазын удирдлагын систем, програмыг нэгтгэх гэх мэт.
  • Програм - аж ахуйн нэгжийн үйл ажиллагаанд ашигладаг хэрэглээний програм хангамж;
  • Өгөгдөл - өргөн утгаараа - ажлын урсгал, гадаад ба дотоод, бүтэцлэгдсэн, бүтэцгүй, лавлагаа, мультимедиа гэх мэт;
  • Ажиллах хүч - боловсон хүчин, тэдний ур чадвар: ур чадвар, даалгаврыг ойлгох, ажлын гүйцэтгэл зэргийг шалгадаг.

Мэдээлэл цуглуулах шатны төгсгөлд аудит хийж буй компани нь мэдээллийн технологийн дэд бүтцийг нарийвчлан тодорхойлсон баримт бичгийн багцыг эзэмшдэг.

Мэдээллийн шинжилгээ ба тайлан бэлтгэх

Энэ үе шатанд дараахь ажлуудыг гүйцэтгэдэг.

  • цуглуулсан өгөгдлийг шалгах, дүн шинжилгээ хийх
  • үйл ажиллагааны баримт бичгийг бэлтгэх
  • зөвлөмж гаргах
  • аудитын тайлан гаргах

Цуглуулсан өгөгдлийг бүрэн, зөв ​​эсэхийг шалгаж, хүлээн авсан мэдээлэлд дүн шинжилгээ хийж, дүгнэлт, зөвлөмж боловсруулж, үр дүнг албан ёсны болгож танилцуулна. Шинжилгээ хийх явцад нэмэлт мэдээлэл цуглуулах шийдвэр гаргаж болно.

Цуглуулсан мэдээлэлд үндэслэн аж ахуйн нэгжийн мэдээллийн технологийн дэд бүтцийн талаархи дэлгэрэнгүй мэдээллийг агуулсан үйл ажиллагааны баримт бичгийг бэлтгэдэг. Ажлын чанарыг сайжруулах, мэдээллийн технологийн дэд бүтцийн үр ашгийг дээшлүүлэх чиглэлээр зөвлөмж боловсруулдаг

Аналитик тайлан нь аудитын тайлангийн гол баримт бичиг юм. Үүнд мэдээллийн технологийн дэд бүтцийн өнөөгийн байдал, үйл ажиллагааны баримт бичиг, илрүүлсэн асуудлын жагсаалт, мэдээллийн технологийн дэд бүтцийг шинэчлэх, хөгжүүлэх зөвлөмжүүд багтсан болно.

Энэ үе шат нь боловсруулсан баримт бичгийг захиалагчид шилжүүлснээр дуусна.

Үр дүн

Аудитын үр дүн нь мэдээллийн технологийн дэд бүтцийн талаархи дэлгэрэнгүй мэдээлэл, түүнчлэн ажлын чанарыг сайжруулах, үйл ажиллагааны үр ашгийг дээшлүүлэх зөвлөмж агуулсан баримт бичгийн багцыг бүрдүүлэх явдал юм.

Тайлагнах гол баримт бичиг бол аудитын тайлан юм. Дүрмээр бол түүний бүтцийг TK -ийн хөгжлийн үе шатанд тохиролцдог. Үүнд Мэдээллийн технологийн дэд бүтцийн өнөөгийн байдлын тодорхойлолт, Мэдээллийн технологийн дэд бүтцийг шийдвэрлэх ёстой даалгавартай нийцэж буй байдлын талаарх дүгнэлт, шинэчлэл, хөгжлийн зөвлөмжийг багтаасан болно.